Daily Security Info - 2024/06/26
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
xehook Stealerのプロジェクトがダークウェブフォーラムで販売開始
サブスクリプションタイプのMaaS。Webパネルなどのインフラと既存顧客を合わせた販売
日々のニュース要約
WordPress.orgのプラグインがサプライチェーン攻撃でバックドア化される
要約
脅威アクターが少なくとも5つのプラグインに悪意のあるPHPスクリプトを追加。
プラグインは新しい管理者アカウントを作成し、SEOスパムをインジェクション。作成される管理者アカウントは、「Options」または「PluginAuth」という名前がつけられる。
35,000以上のウェブサイトが影響を受け、パッチがリリースされた。
攻撃は6月21日から22日に発生。
Wordfenceが侵害を発見し、プラグイン開発者に通知。
IOCの列挙
94.156.79[.]8,IPアドレス,知られていない,攻撃者のサーバーにデータを送信,グローバル
推奨事項
影響を受けたプラグインを更新または削除する。
ウェブサイトの完全なマルウェアスキャンを実施する。
不審な管理者アカウントを削除する。
その他
以下のWordPressプラグインが該当。
Social Warfare 4.4.6.4 to 4.4.7.1 (fixed in version 4.4.7.3)
Blaze Widget 2.2.5 to 2.5.2 (fixed in version 2.5.4)
Wrapper Link Element 1.0.2 to 1.0.3 (fixed in version 1.0.5)
Contact Form 7 Multi-Step Addon 1.0.4 to 1.0.5 (fixed in version 1.0.7)
Simply Show Hooks 1.2.1 to 1.2.2 (no fix available yet)
ChatGPTの推奨事項
影響を受けたプラグインを即座に更新または削除してください。
Polyfill.ioのJavaScriptサプライチェーン攻撃が10万以上のサイトに影響
要約
Polyfill.ioのサービスがFunnullという中国企業に買収され、悪意のあるコードをインジェクション。
Polyfillは古いブラウザ向けのスクリプトを提供するサービス。買収後にこのスクリプトが改変され悪意のあるコードを送り込むようになった。
100,000以上のサイトが攻撃を受け、ユーザーが詐欺サイトにリダイレクトされる。
Googleは広告主に警告し、影響を受けたページを監視中。
攻撃は特定のモバイルデバイスを標的にしている。
現在、ドメインはCloudflareのミラーにリダイレクト。
IOCの列挙
www[.]googie-anaiytics[.]com,FQDN名,知られていない,ユーザーをリダイレクトする先の偽サイト(偽の Google Analytics ドメイン),NA(IP以外)
kuurza[.]com/redirect?from=bitget,URL,知られていない,ユーザーをリダイレクト先の偽サイト,NA(IP以外)
推奨事項
Polyfill.ioスクリプトの使用を中止する。
影響を受けたサイトのコードを検査する。
他の信頼できるCDNサービスを使用する。
その他
なし
ChatGPTの推奨事項
影響を受けた可能性のあるサイトはPolyfill.ioのスクリプトを即座に削除してください。
新しいMedusaマルウェアの亜種が7か国のAndroidユーザーを標的に
要約
Medusaバンキングトロイの木馬が新たな亜種で再出現し、7か国でAndroidユーザーを標的に。
新亜種は軽量で、少ない権限で動作し、スクリーンショット取得機能などを追加。この亜種は2023年7月には活動していた。
Cleafyが発見し、フィッシングを使った24のキャンペーンを特定。悪意のあるアプリを配信する5つのボットネットに起因(UNKN、AFETZEDE、ANAKONDA、PEMBE、TONY)
SMSフィッシングを使いドロッパーアプリを介してマルウェアを配信する。ドロッパーアプリには、以下がある。
偽の Chrome ブラウザ
5G 接続アプリ
4K Sports と呼ばれる偽のストリーミング アプリ
現在、UEFA EURO 2024が開催されていることを考えると、偽の4Kスポーツアプリがマルウェア配布用のドロッパーアプリに選ばれたのはタイムリーな選択と思われる。
IOCの列挙
偽アプリに注意し、信頼できないソースからアプリをダウンロードしない。
推奨事項
なし
その他
なし
ChatGPTの推奨事項
影響を受けた可能性のあるサイトはPolyfill.ioのスクリプトを即座に削除してください。
Neiman Marcus、Snowflakeアカウントのハッキング後にデータ侵害を確認
要約
Neiman Marcusは、Snowflakeのアカウントがハッキングされ、64,472人の個人情報が流出したと発表。
影響を受けた情報には、名前、連絡先、誕生日、ギフトカード番号などが含まれる。
データはハッキングフォーラムで販売され、同社は調査中。
脅威アクター「Sp1d3r」が販売。このアクターは販売前に企業へ連絡し恐喝を試みたが拒否されたと主張。
165の組織がこの攻撃の影響を受けた。
IOCの列挙
なし
推奨事項
推奨事項なし
その他
攻撃者は「Sp1d3r」という脅威アクター。このアクターは最近のSnowflakeユーザのデータ販売を多く行っている。
ChatGPTの推奨事項
流出した情報に関連するアカウントのセキュリティを確認してください。
FBI、仮想通貨詐欺の被害者を狙う偽の法律事務所に警告
要約
FBIは仮想通貨詐欺の被害者をターゲットにした偽の法律事務所に関する警告を発表。
詐欺師は政府機関との連携を偽り、詐欺で窃取された仮想通貨を追跡して取り戻すと主張し、被害者から個人情報や資金を盗む。
IC3の統計によると、2023年2月から2024年2月にかけて被害者は900万ドルを詐欺師に支払った。
民間企業には押収命令を出す権限がないため、仮想通貨を取り戻すことは困難。
影響を受けた場合、IC3に報告することが推奨される。
IOCの列挙
なし
推奨事項
仮想通貨詐欺にあった場合は、IC3に報告する
その他
なし
ChatGPTの推奨事項
詐欺被害に遭った場合、IC3に即座に報告してください。
P2PInfectボットネット、新たなランサムウェアモジュールでRedisサーバーを標的に
要約
P2PInfectボットネットが再開。Redisサーバーを狙い、ランサムウェアモジュールとクリプトマイナーを展開。
感染したデバイスはランサムウェアをダウンロードし、特定のファイルを暗号化。
ボットネットはXMRマイナーも動かす。調査したサンプルで事前設定されたウォレットとマイニングプールは、計71XMRを生成していることが確認された。
新しいユーザーモードルートキットを利用し、悪意のあるプロセスやファイルをセキュリティツールから隠蔽。
Redisの脆弱性を悪用して拡散し、ランサムウェアと暗号通貨マイナーを展開。
IOCの列挙
なし
推奨事項
Redisサーバーのセキュリティ設定を強化する。
最新のセキュリティパッチを適用する。
その他
なし
ChatGPTの推奨事項
Redisサーバーのセキュリティを直ちに確認し、強化してください。
日本のインシデント事例
その他のメモ
N/A
この記事が気に入ったらサポートをしてみませんか?